Microsoft Windows SMBv3.0(CVE-2020-0796)通告

摘要:2020年3月11日,某国外安全公司发布了一个近期微软安全补丁包所涉及漏洞的综述,其中谈到了一个威胁等级被标记为Critical的SMB服务远程代码执行漏洞(CVE-2020-0796),攻击者可以利用此漏洞远程无需用户验证通过发送构造特殊的恶意数据导致在目标系统上执行恶意代码。

前言

2020311日,某国外安全公司发布了一个近期微软安全补丁包所涉及漏洞的综述,其中谈到了一个威胁等级被标记为CriticalSMB服务远程代码执行漏洞(CVE-2020-0796),攻击者可以利用此漏洞远程无需用户验证通过发送构造特殊的恶意数据导致在目标系统上执行恶意代码。

文档信息

编号

CNNVD-202003-509

关键字

CVE-2020-0796

发布日期

20200311

更新日期

20200312

通告背景

2020311日,某国外安全公司发布了一个近期微软安全补丁包所涉及漏洞的综述,其中谈到了一个威胁等级被标记为CriticalSMB服务远程代码执行漏洞(CVE-2020-0796),攻击者可以利用此漏洞远程无需用户验证通过发送构造特殊的恶意数据导致在目标系统上执行恶意代码,从而获取机器的完全控制。此漏洞主要影响支持SMBv3.0的设备,理论上存在蠕虫化的可能性。

 漏洞描述

漏洞存在于WindowsSMBv3.0(文件共享与打印服务)中,目前技术细节暂不公布,对于漏洞的利用无需用户验证,通过构造恶意请求即可触发导致任意代码执行,系统受到非授权控制。

漏洞概要

漏洞

名称

威胁

类型

威胁等级

漏洞ID

利用场景

受影响系统及应用版本

Microsoft Windows SMBv3.0服务远程代码执行漏洞

远程代码执行

严重

CVE-2020-0796

攻击者可以通过发送特殊构造的数据包触发漏洞,无需用户验证就可能导致控制目标系统。

Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for ARM64-based Systems
Windows 10 Version 1903 for x64-based Systems
Windows 10 Version 1909 for 32-bit Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows 10 Version 1909 for x64-based Systems
Windows Server, version 1903 (Server Core installation)
Windows Server, version 1909 (Server Core installation)

影响面评估

此漏洞主要影响SMBv3.0协议,目前支持该协议的设备包括Windows 8Windows 8.1Windows 10Windows Server 2012 Windows Server 2016,但是从微软的通告来看受影响目标主要是Win10系统,考虑到相关设备的数量级,潜在威胁较大。

处置建议

修复方法

1. 目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-0769

2.如果暂时无法安装补丁,微软当前建议按如下临时解决方案处理:

禁用SMBv3压缩

 执行以下命令

Set-ItemProperty-Path”HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters”DisableCompression -Type DWORD -Value 1 -Force

禁用SMB 3.0的压缩功能,是否使用需要结合自己业务进行判断。

发布者:韩小宇   点击数:111   发布时间:2020-03-13 15:14:33   更新时间:2020-03-16 14:48:01